SGGPO
Após relatos da campanha Operação Triangulação visando dispositivos iOS, especialistas da Kaspersky esclarecem os detalhes do spyware usado no ataque.
O malware TriangleDB atacou dispositivos iOS |
A Kaspersky divulgou recentemente uma nova campanha de APT (Ameaça Persistente Avançada) para dispositivos móveis, direcionada a dispositivos iOS via iMessage. Após uma investigação de seis meses, os pesquisadores da Kaspersky publicaram uma análise aprofundada da cadeia de exploits e descobertas detalhadas sobre a infecção por spyware.
O software, chamado TriangleDB, é implantado explorando uma vulnerabilidade para obter acesso root em dispositivos iOS. Uma vez iniciado, ele opera apenas na memória do dispositivo, de modo que os vestígios da infecção desaparecem quando o dispositivo é reiniciado. Assim, se a vítima reiniciar o dispositivo, o invasor precisa reinfectar o dispositivo enviando outra iMessage com um anexo malicioso, reiniciando todo o processo de exploração.
Se o dispositivo não for reiniciado, o software será desinstalado automaticamente após 30 dias, a menos que os invasores estendam esse período. Atuando como um spyware sofisticado, o TriangleDB realiza uma variedade de funções de coleta e monitoramento de dados.
O software inclui 24 comandos com funções diversas. Esses comandos atendem a diversos propósitos, como interagir com o sistema de arquivos do dispositivo (incluindo criar, modificar, extrair e excluir arquivos), gerenciar processos (listar e encerrar), extrair strings para coletar credenciais da vítima e monitorar a localização geográfica da vítima.
Ao analisar o TriangleDB, os especialistas da Kaspersky descobriram que a classe CRConfig contém um método não utilizado chamado populateWithFieldsMacOSOnly. Embora não seja usado na infecção do iOS, sua presença sugere a capacidade de atingir dispositivos macOS.
A Kaspersky recomenda que os usuários tomem as seguintes medidas para evitar se tornarem vítimas de ataques direcionados: Para proteção de endpoint, investigação e resposta oportuna, use uma solução de segurança empresarial confiável, como a Kaspersky Unified Monitoring and Analysis Platform (KUMA); Atualize os sistemas operacionais Microsoft Windows e softwares de terceiros o mais rápido possível e regularmente; Forneça às equipes do SOC acesso à mais recente Threat Intelligence (TI). A Kaspersky Threat Intelligence é uma fonte simples de acesso à TI corporativa, fornecendo 20 anos de dados, informações e relatórios de ataques cibernéticos da Kaspersky; Equipe as equipes de segurança cibernética para lidar com as ameaças direcionadas mais recentes com o treinamento online da Kaspersky, desenvolvido por especialistas da GreAT; Como muitos ataques direcionados começam com táticas de phishing ou engenharia social, forneça treinamento de conscientização em segurança e treinamento de habilidades para os funcionários da empresa, como a Kaspersky Automated Security Awareness Platform…
“À medida que nos aprofundamos no ataque, descobrimos que essa sofisticada infecção para iOS tinha diversas características estranhas. Continuamos analisando a campanha e manteremos todos atualizados à medida que aprendemos mais sobre esse ataque sofisticado. Instamos a comunidade de segurança cibernética a compartilhar conhecimento e colaborar para obter uma visão mais clara das ameaças existentes”, disse Georgy Kucherin, especialista em segurança da Equipe Global de Pesquisa e Análise da Kaspersky.
[anúncio_2]
Fonte
Comentário (0)